Működési kockázatok értelmezése

Első kérdésként azonnal felmerülhet, hogy mit is értünk működési kockázat alatt, illetve milyen más jellegű kockázatokkal kell még foglalkoznunk?

Kockázat minden tevékenységünkhöz kapcsolódhat, sőt kapcsolódik is. A kockázatot általában negatív értelmezési keretben használjuk, azaz valamilyen jövőbeli veszély, veszteség bekövetkezésére használjuk. Általánosabb értelemben a kockázat nem más, mint a jövő kiszámíthatatlansága, bizonytalansága (és ebben az értelmezésben pozitív kockázatról, azaz a nyereség lehetőségéről is beszélhetünk).

A működési kockázatok értelmezése elsősorban a pénzügyi szektorokban élvez kiemelt figyelmet a Basel II szempontrendszer alkalmazása miatt. A Bázeli Bizottság értelmezésében a „működési kockázatok az emberek, belső folyamatok, a rendszerek nem megfelelő, vagy hibás működése, illetve külső tényező által előidézett veszteségek kockázata”.

A lehatárolás miatt el kell választanunk a banki hitelezési gyakorlathoz (hitelezési kockázat), illetve a piac megváltozásához (piaci kockázat) kapcsolódó, a Bázeli Bizottság által is kiemelt kockázatokat. Persze emellett minden más terület kockázatát is megemlíthetnénk.

A pénzintézetek működési kockázataihoz kapcsolódóan hét veszteségi kategóriát lehet megemlíteni, melyekért együtt, vagy külön-külön felelőssé tehető a négy kockázati terület:

1. Belső csalás (emberek, rendszerek): A belső előírások megsértése, ahol legalább az egyik érintett fél a szervezet dolgozója. Beletartozik az eljárási szabályoktól való eltérés, jogkör bitorlás, belső lopás vagy csalás. Ilyenek lehetnek a felhatalmazás nélküli döntések vagy a bennfentes kereskedelem.

Belső csalásra talán a legaktuálisabb példa a Société Générale-nál elkövetett csalás.

2. Külső csalás (külső tényezők, rendszerek, folyamatok): Jogszabályok és törvények kijátszásával, külső fél által okozott veszteség. Beletartozik a számítógépes rendszerek kijátszása, a szervezeti folyamatok kijátszása, illetve a szervezet becsapása (pl. okirat hamisítás). Pl. Lopás, rablás, számítógépfeltörés, illetéktelen hozzáférés megszerzése, bankkártya csalások. "Külső tényezők

Ehhez a területhez kapcsolódik a közelmúlt egy híre, amikor egy volt ügyvéd hamis bírósági ítéletekkel nyújtott be inkasszót gazdasági társaságok számláival szemben, és cégenként 8-9 millió forintot próbált megszerezni. Mivel korábban már voltak ilyen esetek, ezért a pénzintézetek nem fizették ki automatikusan a kívánt összeget, hanem ellenőrizték az ítéletek valóságtartalmát, és így az elkövető lebukott.

3. Dolgozói tevékenység és munkahelyi biztonság (Folyamatok, emberek): A munkakörülmények, illetve a foglalkoztatás szabályainak megsértése, munkahelyi balesetek, sérülések, nemi, faji vagy bármilyen jellegű diszkrimináció, az egyenlő bánásmód problémái, szexuális zaklatás. Pl. Munkahelyi sérelemért kompenzáció fizetése, büntetés az előírások megsértéséért.

A közelmúltban Nagy Britanniában a City bankot perelte be egy volt dolgozója, akit érvelése szerint a szülési szabadsága után kilépésre kényszerítettek. Az nemi diszkrimációs ügy tétje 1-2 millió font közötti kártérítési összeg. Az eset szerint Ms. Tofeji 2004 végén jelentette be, hogy szülni fog, és innentől kezdve a vezetőség nem bánt vele már megfelelően, sőt ennek tulajdonítja a 2004. évi jutalmának elmaradását is. A gyermek születése után (akit egyedül nevel) kénytelen volt meghosszabbítani szülési szabadságát, míg végül a hét négy napjára talált gondozási lehetőséget gyermekének. Ekkor szerette volna, hogy banki munkaidejét 4 napot tölthetné el. A bank férfi vezetői ezt nem támogatták, az ötnapos munkahét mellett érveltek, de nem hivatalosan kilépésre biztatták. (Financial Times and Guardian, April 17, 2007)

4. Ügyfelek, termékek és üzleti tevékenység (folyamatok): Az ügyfelek felé vállalt kötelezettségek nem szándékos (gondatlan) megszegése. Sokszor fogyasztóvédelmi vonatkozásai is vannak. Pl. Hitelkártya limit túllépés véletlen engedélyezése, vállalt határidőből való kicsúszás, ügyfélnyilvántartás hiányosságai.

5. Fizikai eszközök sérülései (rendszerek): Eszközök, elsősorban az informatika infrastruktúra sérülése és működésképtelensége. Természeti, vagy ember okozta katasztrófahelyzetek. Pl. szerverterem beázása áradás miatt, terrorcselekmény hatásai, építési tevékenység miatti sérülés.

Sajnos napjainkban mind a természeti katasztrófák, mind a terrorista támadások élő veszélyt jelentenek, és nagyon sok cég fel is készül ilyen helyzetekre. A 2001-es World Trade Center elleni támadás az emberáldozatok mellett az informatikai infrastruktúrát, sőt cégek adatait is megsemmisítette. Sok esetben ugyanakkor a biztonsági mentéseknek köszönhetően a működés néhány nap (vagy például a Deutsche Bank esetében 2 óra) elteltével már zavartalanul folyt.

Miami-ban inkább a hurrikánok jelentenek veszélyt. A Banco Santander Central Hispano egy a világ tíz legnagyobb bankja közül. Miami központja nem csak turistalátványosság, hanem egyben a hurrikánok által veszélyeztetett területek egyik kiemelt helye. 2004-ben például a sorozatos hurrikánok 4-szer is leállásra kényszerítették a Miami-ban található adatközpontjukat. Ugyanakkor a veszélyhelyzetre felkészülve háttér szolgáltató központot építettek ki New-York-ban, így a hurrikánveszély ellenére is tudtak foglalkozni ügyfeleikkel.

6. Rendszerek és üzleti tevékenységek megszakadása (Rendszerek): Rendszer meghibásodásból származó üzletmenet megszakadás, alapvetően az informatikai rendszerek hibája: hardver, szoftver, telekommunikáció. Pl. Számlavezető szerverek meghibásodása, ATM vezérlő adatbázis leállása.

Sajnos a hírekben is gyakran hallható, ha egy bank ATM rendszere nem működik, melyet általában valamilyen központi szerver, alkalmazás vagy adatbázis hiba okoz. Nemrégiben a Barclays Bank volt kénytelen szembesülni ilyen problémával, mely fél Nagy Britanniát megbénította. A hírek szerint a problémát egy adatbázis szoftver frissítése okozta, bár a bank az esetet áramszünetre fogta. Az mindenesetre tény, hogy nem gondoskodtak megfelelően a kieső informatikai szolgáltatás kiváltásáról.

7. Folyamatok irányítása, biztosítása és végrehajtása (Folyamatok, rendszerek, emberek): Nyilvántartási tévedések, végrehajtási problémák. Pl. Hibás adatbevitel, könyvelés, külső adatszolgáltatás elmaradása, beszállítói kapcsolatok.

Természetesen egyes esetekben ezen veszteségi kategóriák áttételesen is jelentkezhetnek, több kockázati terület együttes fellépésével. Így akár a külső és a belső tényezők egyszerre jelentkezése nagyobb hatású veszteséget is előidézhet.

A Barings Bank esetében a Nick Leeson által végrehajtott belső csalás, illetve a külső piaci mozgások együttesen eredményezték a veszteséget, de a közelmúlt Société Générale ügyében is a csalás felderítésekor meghozott lépések nem voltak éppen a legjobban időzítve, így növelték a veszteséget.

A Société Générale ügy

A ritka, de nagy hatású operatív kockázatok közé sorolható az a fajta veszély, melyet egyes bankok belső alkalmazottai követhetnek el. Különösen érdekes esetnek tekinthető a közelmúlt Société Générale bank esete (ld. HVG 2008. január 30).

A bank tisztában volt az operatív kockázatok fontosságával. De ugyanennyire tisztában volt vele Jerome Kerviel is, aki korábban épp a kockázatkezelési osztályon dolgozott. Így ismerhette az ellenőrzési szabályokat, illette ismerte azokat a megoldásokat is, melyekkel ezek a szabályok kijátszhatóak.

Kerviel 2005 óta kötött fiktív határidős ügyleteket, megtévesztve a belső ellenőrzési rendszert, és ezt be is vallotta. Ráadásul még azt is állította, hogy nem ő az egyetlen alkalmazott, aki a saját szakállára (de nem feltétlenül a saját hasznára) dolgozik. Kerviel hamis kliensszámlákat felhasználva egymásra épülő határidő üzleteket kötött, az általa felépített pozícióit elrejtette, és úgy tűnik, hogy igazából maga a bank sem akarta nagyon megtalálni. A bank automatikus rendszerei többször is kiadták a riasztást, és ekkor Kerviel felettesei számon is kérték a történéseket (főleg, mivel túllépte az engedélyezett összegeket), de ilyenkor mindig sikerült hamis dokumentumokkal igazlnia, hogy ügyletei nem jelentenek kockázatot a bank számára (ráadásul: "...az Eurex derivatív tőzsde már novemberben jelezte a bank vezetésének, hogy a kereskedő kockázatos ügyletekbe bonyolódott, de Kerviel kimagyarázta magát" - írja a Napi Gazdaság). Ebbe beletartozott az a hamis portfólió is, mely elvileg fedezte a kockázatosabb ügyleteket.Az ügyészség hamisításért, hamisított okiratokkal való visszaélésért és informatikai adatok automatizált rendszerébe történő behatolásért indított eljárást.

Mik az eset tanulságai?

• Az emberekhez köthető kockázatok nem mindig egyéni haszonszerzés céljából történnek. Kerviel annak ellenére nem a saját zsebére dolgozott, hogy fizetése ebben a szakmai körben nem volt kiemelkedő, egyszerűen szerette volna bebizonyítani, hogy kivételes képességű bróker.
• Az eset rávilágít arra, hogy hiába van tisztában egy bank az operatív kockázatokkal, nem biztos, hogy mindent megtesz ezek kivédése érdekében. Sőt, az intézmények sok esetben tudatosan vállalnak bizonyos fokú kockázatot, mivel félnek, hogy a túlzott ellenőrzés és kontroll megöli a kezdeményező kedvet. Lehet, hogy itt is erről volt szó?
• Hiába használ egy intézmény informatikai rendszert a kockázatok felderítésére, ha ezeket hagyományos eszközökkel ki lehet játszani. Hogy fordulhat elő, hogy hamis okiratok fedezik az ügyleteket? Bár elvileg minden tranzakció az informatikai rendszereket keresztül folyik (és mindennek nyoma van), úgy tűnik még mindig nem elég erősek a szabályok.

Megjegyzés: nem tudhatjuk, hogy mennyi kárt okozott Jerome Kerviel, de egyes hírek szerint a 4,9 milliárd eurós veszteség egy része nem is az ő nevéhez fűződik, csak éppen kapóra jött, hogy valakire rá lehet kenni a többi problémát is. Mert ugyan melyik pénzintézet szokta megszellőztetni az ilyen jellegű problémáit? A lebukott alkalmazottaktól sokszor titokban vesznek búcsút, anélkül, hogy a veszteségek nyilvánosságot kapnának. Az ilyen kirívó eseteket évekig példaként lehet felhozni a kockázatkezelési feladatok hiányosságaira és fontosságára.

Pénzintézetek operatív kockázatai

A pénzintézetek számára mérvadó Basel II ajánlásrendszer 2004-es publikálása, annak 2006-2007 folyamán történő európai elfogadása óta a pénzintézetek egyre nagyobb figyelmet fordítanak a tevékenységükhöz kapcsolódó kockázatok azonosítására, mérésére és kezelésére. Persze nem csak a szabályozási környezet kényszeríti ki ezen elvek alkalmazását, hanem a pénzügyi piacok globalizációja, illetve azon csalások, melyek a pénzintézeteknek jelentős károkat okoznak. Gondoljunk csak a közelmúlt Société Générale csalására, amikor is 4,9 milliárd euró veszett el egy alkalmazott szabálytalan tranzakciói miatt.

A Basel II direktíva a kockázatkezelés és a pénzintézeti tőkemegfelelés kérdéskörét igyekszik az iparági legjobb gyakorlatok felhasználásával segíteni. A kockázatkezelési portfolióban meg kell különböztetnünk a működési, hitelezési és üzleti kockázatokat. Míg a hitelezési kockázatok kezelésére vonatkozólag jelentős tapasztalat áll rendelkezésre, addig a Basel II megközelítésében is újdonság, hogy a működési (operatív) kockázatok külön kerülnek kezelésre.

Az operatív kockázatok között a hagyományos PPT modell (people, process, technology) elemei mellett szerepet kap a külső környezet fenyegetése is.

Bár a Basel II megközelítésében a működési kockázat elválik a hitelezési és piaci kockázattól, a működési kockázatok mégis minden pénzintézeti tevékenység (így pl. a hitelezési folyamatok) részét képezhetik. Miközben a működési kockázatok a végrehajtási szintet vizsgálják, addig a más kockázatok a piaci, vagy ügyfélkörhöz kapcsolódó bizonytalanságokkal számolnak. Így a működési kockázatok elemzése és kezelése jelentős mértékben kiegészíti más kockázatok elemzését.

A működési kockázatok kezelését érdemes folyamatmodell mentén végezni: a pénzintézeti folyamatok feltérképezésével nem csak a sebezhető pontok (informatikai rendszerek, szabályozási hiányosságok) azonosíthatóak, hanem a folyamat maga is racionalizálható, ellenőrzési pontok beiktatásával biztonságosabbá, ugyanakkor hatékonyabbá is tehető. A folyamatrendszer kezelésének automatizálásával, illetve az egyes tevékenységekhez kapcsolódó adatok elemzésével a kockázatok (és hibák) könnyen azonosíthatóvá, így kezelhetővé válnak.

Megjegyzendő, hogy egy működési kockázatokat kezelő rendszer kiépítése korán sem egyszerű, és koránt sem gyors folyamat. A pénzintézetek legtöbb esetben tanácsadó cégek segítségét veszik igénybe, hogy kiépítsék ezt a rendszert. Ez elég racionális döntés, mivel a szakértőket elég bérbevenniük, mintsem állományba.

Az IT Business 2008. 7. számában jelent meg egy cikk, mely a tanácsadók szükségességéről értekezik. Ebben Szalkai Gergely a Credigen IT vezetőjének véleménye szerint "nagyobb, profilt vagy a működést technológiai szempontból is érintő változás esetén kell tanácsadóhoz fordulni segítségért". A pénzintézetek esetében arról van szó, hogy olyan új kockázati terület kezelését kell megoldani, mellyel eddig nem foglalkoztak, sőt nem is igazán kívántak foglalkozni.

Ugyanakkor tanácsadók alkalmazása kihívást is jelent: egy pénzintézet érdeke, hogy életképes kilépési (exit) stratégiával rendelkezzen egy ilyen projekt esetében is: a projekt folyamán a pénzintézetben ki kell jelölni a kockázatmenedzsment felelőseit, és az ő aktív bevonásukkal kell végrehajtani a projektet. A projektfolyamat során a tanácsadók által alkalmazott módszereket, megközelítéseket át kell venniük, majd a projekt lezárulta után alkalmazni.

A már említett IT Business cikkben Futó Iván, a Budapesti Corvinus Egyetem professzora úgy vélekedik, hogy "a projekt során erőteljesen törekedni kellene arra, hogy a belső munkatársak mindazt a tudást megszerezzék, amelylyel a működtetést és az esetleges későbbi módosításokat már külső támogatás nélkül is el tudják végezni. Amennyiben erre nincs mód, akkor azonban már áttévedünk az outsourcing területére."